TP-Link 路由器再度捲入資安事件。英國國家網路安全中心(NCSC)近日發布警示指出,俄羅斯國家級駭客組織 APT28 自 2024 年起持續鎖定小型辦公室與家用辦公室(SOHO)路由器下手,透過改寫 DHCP 與 DNS 設定,將使用者流量導向攻擊者控制的伺服器,進一步攔截 Outlook 等網頁與郵件服務的帳號密碼與驗證權杖,TP-Link 與 MikroTik 都被點名為受害設備品牌。
NCSC 指出,APT28 幾乎可確定隸屬俄羅斯總參謀部情報總局(GRU)旗下單位,這波攻擊的核心手法並非直接入侵用戶電腦,而是先從路由器下手。
攻擊者先架設惡意 DNS 解析伺服器,再入侵存在漏洞的 SOHO 路由器,將其 DHCP DNS 設定改寫成指向駭客控制的伺服器。由於連上同一網路的筆電、手機等裝置會自動繼承這些 DNS 設定,用戶往後的網域查詢請求也就會被導向攻擊者基礎設施。
在實際操作上,若使用者連線的是特定服務,例如 Outlook 登入頁面、郵件同步服務等,DNS 查詢就會被導向駭客控制的 IP 位址,由後端的中間人攻擊架構攔截登入流程,藉此竊取密碼、OAuth 權杖或其他驗證資料。至於不在鎖定範圍內的網路請求,則仍會被導向合法網站,以免讓受害者察覺異狀。
NCSC 在警示中列出多個遭鎖定的 Microsoft 相關網域,包括 autodiscover-s.outlook.com、imap-mail.outlook.com、outlook.live.com、outlook.office.com 與 outlook.office365.com,顯示這波攻擊明顯聚焦 Outlook 與 Office 郵件服務。
駭客若成功取得帳密與驗證權杖,便可能繞過部分登入保護機制,進一步存取受害者電子郵件與相關帳戶資料。
在設備方面,TP-Link WR841N 被 NCSC 點名為遭 APT28 利用的機種之一,外界推測攻擊者可能使用的是 CVE-2023-50224 漏洞。這項漏洞屬於未經驗證的資訊揭露漏洞,攻擊者可透過 HTTP GET 請求直接取得裝置憑證;一旦拿到路由器帳密,便可再次發送請求改寫 DHCP DNS 設定,將主要 DNS 指向惡意伺服器,次要 DNS 則保留原本位址,以降低異常被發現的機率。
除了 WR841N 外,NCSC 也列出超過 20 款 TP-Link 路由器屬於這波攻擊行動的鎖定對象,包括 Archer C5、Archer C7、WDR3500、WDR3600、WDR4300、WR1043ND、MR3420、MR6400 LTE,以及多個版本的 WR740N、WR840N、WR841N、WR842N、WR845N 與 WR941ND。從機型分布來看,受影響產品多為普及度高、部署在中小型辦公室或家庭環境的設備。
NCSC 也提到,另一組攻擊基礎設施同時接收到來自受害 MikroTik 路由器與 TP-Link 設備轉送的 DNS 請求,且駭客也曾對一小部分 MikroTik 路由器進行互動式操作。其中部分設備位於烏克蘭,英方研判這些目標可能具有情報價值。
從攻擊模式來看,NCSC 認為這是一場帶有高度機會主義特徵的行動。APT28 先大規模掃描對外暴露、存在漏洞的路由器設備,再從取得的受害網路中逐步篩選出具情報價值的對象。換言之,前段攻擊是廣撒網,後續情蒐才是精準鎖定。
針對防護措施,NCSC 建議企業與一般用戶應盡快確認路由器韌體是否更新至最新版本,避免將管理介面直接暴露於網際網路,同時替電子郵件與其他重要帳戶啟用多因素驗證,以降低帳密或驗證權杖遭竊後帶來的風險。對中小企業而言,SOHO 路由器雖然部署方便、成本較低,但若缺乏持續更新與管理,也可能成為整體網路環境中最脆弱的一環。
APT28 也被追蹤為 Fancy Bear、Forest Blizzard 與 Sofacy,過去曾多次與重大網攻事件連結,包括 2015 年德國國會遭駭,以及 2018 年針對禁止化學武器組織(OPCW)的入侵未遂案。這次再度被點名利用家用與小型商用路由器做為滲透入口,也凸顯網路邊界設備已成為國家級駭客行動的重要切入點。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
